Как человек, работающий с ИТ и ИБ крупных компаний, свидетельствую: на самом деле это весьма частая история. И это плохо, и вот почему: задачи ИБ находятся практически в прямом противоречии с желаниями ИТ. ИТ хотят сделать так, чтобы пользователям было максимально удобно работать, а ИТ - максимально удобно предоставлять необходимые для работы сервисы, а ИБ непременно это удобство и скорость понизит, поэтому у CISO в подчинении CIO постоянный конфликт интересов - он вынужден делать то, что не понравится его боссу. Лучше, когда CISO подчиняется CSO, в задачи которого входит ещё и безопасность физическая, но только при том условии, что он обладает автономностью в принятии решений, иначе это превратится в "нужно больше вахтёров и камер наблюдения, в том числе и внутри этих ваших компьютеров". Идеально, когда CISO подчиняется Chief Risk Officer, потому что ИБ, в конечном итоге, именно про риски - но такого я пока в российских компаниях не встречал.